/tag/供应链

1、算法专家（AI大模型/供应链方向） 2、供应链算法工程师 3、AI产品经理（用工平台/新零售） 4、用工中心/新零售销售副总监 5、战略招商部招商经理（高化名品） 以上岗位base深圳，本科3年以上岗位相关经验，专家岗博士5年起 ———————————— 天虹数科：国有控股上市、深耕零售 40 余年、规模百亿级、华南领先、全业态数字化融合、自研灵智数科输出零售 tech、AI 大模型赋能的智慧零售龙头。 2 个帖子 - 2 位参与者 阅读完整话题

此前专注于 NPM 生态系统供应链攻击的黑客组织 TeamPCP 开源发布蠕虫病毒 Mini Shai-Hulud (迷你沙虫)，这类蠕虫病毒具有自我复制的特性，当成功窃取开发环境中的敏感凭据后，会直接调用凭据连接远程资源并继续进行感染和传播，最初迷你沙虫主要针对的是 NPM 生态系统。 现在变种版蠕虫 Miasma 也开源发布： Miasma 是基于迷你沙虫的变种版蠕虫，该蠕虫同样用来发起供应链攻击，主要针对的是 NPM 生态系统和 GitHub，其核心行为包括安装后自动扫描本地和云环境并窃取各类敏感凭证，例如 AWS、GCP、Azure、GitHub Token、SSH 密钥、NPM 令牌、PyPI 令牌等。 当成功窃取凭证后 Miasma 就会顺着这些凭证继续向后感染并传播，例如窃取开发者的 NPM 凭证后会利用凭证发布携带蠕虫本体的软件包，当下游软件安装这些带毒软件包后会继续激活蠕虫然后继续窃取凭证并传播，这种蠕虫的可怕之处就是自我复制能力非常强，所以感染链路很难被彻底斩断。 在 GitHub 上名为杨安永的开发者在其个人账户下开源发布 Miasma 蠕虫病毒并称这是效仿 TeamPCP 的开源精神，仓库代码以 MIT 协议授权让其他黑客也可以下载代码后直接使用，不过很快这个仓库就被删除并且整个开发者账户都被封禁，这显然是 GitHub 执行的操作。 当然有较大概率是这名开发者账号被盗用然后用来开源发布蠕虫，毕竟这名开发者还是比较活跃的，而且在自己的主页上挂着已经备案的个人网站，这种就属于贴脸开大，毕竟要是真开源发布蠕虫那也应该注册小号而不是使用自己的真实账号去发布。 查看评论

IT之家 6 月 7 日消息，据钛媒体今日消息， 京东与腾讯已于近期联手，将围绕 AI Agent 展开合作 。京东的商品供应链与履约服务体系，将与腾讯的入口资源进行对接。 此外，消息称 京东 AI Agent 与华为、OPPO、荣耀等多家主流终端厂商已进行对接 。通过 A2A（Agent to Agent）合作，用户可直接在各终端原生智能体的京东 AI Agent 内提出购物需求、获取商品信息，并依托京东的履约与服务体系承接，形成从意图识别到服务保障的完整体验闭环。 腾讯近期在 AI Agent 领域同样有多个项目推进。据IT之家此前报道，腾讯客服最新回复显示， 微信正在与华为、荣耀、小米、OPPO、vivo 等手机厂商 合作推出 A2A 助手能力 。 据英国《金融时报》本周报道， 微信将推出一款 AI 智能体 ，计划最快将于本月启动公开上线前所需的合规审批流程。另据财经杂志报道，腾讯人士确认了这一消息， 但表示目前无法确定微信 AI 智能体何时推出 ，其上线时间很大程度上取决于监管方对智能体的审批进度，微信 14 亿的用户体量，合规流程可能比其他产品更加严格。

IT之家 6 月 7 日消息，网络安全公司 Socket 研究团队发文，透露有黑客利用“Postinstall”自动安装脚本发起供应链攻击，目前已污染超过 700 个 GitHub 公开代码库。 Socket 表示，黑客在此次攻击事件中首先对 GitHub 多个上游代码仓库动手，悄悄修改 package.json 自动安装脚本，当开发者安装相关依赖时，脚本会自动执行，并下载恶意木马，之后黑客即可趁虚而入进一步获取受害者设备上的隐私信息，并进一步污染更多项目。 同时，为了降低被发现的概率，相应恶意木马还会被保存为“/tmp/.sshd”文件，故意伪装成合法 SSH 服务进程名称，从而降低开发者戒心。 Socket 指出，这类供应链投毒方式尤其危险，因为开发者往往默认信任自动化安装流程，一旦上游仓库被污染，下游基本容易“全军覆没”。因此开发团队应当避免直接信任第三方依赖包，定期重点检查 Composer 包管理工具配置、审计自动执行脚本，以降低供应链攻击带来的安全风险。

文章转载自 先知社区 作者：Fausto https://xz.aliyun.com/news/92154 这应该是网络上首个对 API 中转站投毒的攻防研究了 截取一些核心内容的图片 1 个帖子 - 1 位参与者 阅读完整话题

Nvidia Cosmos cookbook 疑似出现供应链投毒 nvidia-cosmos.github.io Cosmos Cookbook 但是换了浏览器没出现弹窗，不知道问题出在哪。 3 个帖子 - 3 位参与者 阅读完整话题

昨天夜里多家网络安全公司先后检测到红帽公司在 NPM 平台发布多个带有恶意载荷的软件包，这些恶意载荷采用的是 Mini Shai-Hulud 开源蠕虫病毒的变种版本，进入开发环境后会收集并将各种敏感凭证加密上传到黑客控制的服务器，同时蠕虫还会利用这些凭证继续横向传播感染更多开发环境并窃取更多凭证。 安全研究人员经过初步调查后认为此次供应链攻击源头在于红帽工程师的 GitHub 账号被劫持，随后黑客利用 NPM 可信发布机制从 GitHub Actions 里签发的短期 OIDC 令牌推送恶意软件包，目前尚不清楚有多少下游开发者受到实际影响，但红帽发布的这些软件包主要都是企业用途，所以被感染的下游开发者多半也是企业级开发者。 可信发布机制也被绕过： NPM 的可信发布机制旨在从 CI/CD 流水线中移除长期有效的发布令牌，转而利用 GitHub Actions 签发的短期 OIDC 令牌取代这种长期令牌，该机制的设计初衷是提高安全性避免长期有效的凭证泄露后造成安全问题，但近期的供应链攻击案例表明，如果攻击者通过漏洞或者被盗的令牌获得对 CI/CD 流水线的访问权限，则可信发布机制可以完全被绕过。 在本次攻击案例中，红帽工程师的 GitHub 账号被盗用随后被黑客用来将恶意孤立提交直接推送到多个代码仓库中，整个过程也绕过代码审查，这些孤立提交包含工作流文件 CI.YAML 和脚本_INDEX.JS，工作流在运行时会安装 Bun 并执行_INDEX.JS，随后通过环境变量向其传递目标包列表，脚本还会利用权限从 GitHub 请求短期有效的 OIDC 令牌，接着使用令牌直接向 NPM 推送包含恶意载荷的软件包。 迷你沙虫的变种版本： 此前致力于供应链攻击的 TeamPCP 团队开源发布 Shai-Hulud 蠕虫病毒，现在越来越多的黑客利用这个蠕虫病毒展开攻击，本次攻击案例中黑客使用的蠕虫病毒就是基于沙虫修改而来，但本质上还是用来窃取开发环境中的各种凭证并尝试进行横向传播。 窃取的各类凭证包括：GitHub Actions 密钥、AWS 访问密钥和会话令牌、GCP 默认凭证和账户服务密钥文件、Azure 服务主体凭证和托管身份令牌、NPM 和 PYPI 发布令牌、SSH 密钥、Docker 镜像仓库凭证、GPG 密钥以及整个开发环境中能够找到的任何.env 文件。 查看评论

IT之家 5 月 31 日消息，据“上海科技”公众号，近日，中国船舶集团第七〇四研究所自主研制的船用高端仪器 —— 轴功率仪，在与国际知名品牌同台竞标中，获江南造船（集团）有限责任公司 4+4 艘 17.5 万立方米大型液化天然气（LNG）运输船共 32 套 轴功率仪 供货合同。 IT之家从官方介绍获悉，这是国产高端轴功率仪首次批量进入大型 LNG 船 核心供应链， 结束了长期依赖进口的历史 ，将有力保障船舶动力数据与供应链安全。 轴是船舶动力系统中传递主机动力、驱动螺旋桨前进的“动力脊梁”， 是船舶推进系统的核心部件 。轴功率仪（也叫扭力仪），是轴系健康监测系统的核心高端精密测量仪表，相当于船舶动力系统的“高精度体检仪、安全监护仪”。它采用贴片式传感技术，实时采集轴的扭矩、转速，并精准计算出轴功率，直观反映动力传输效率与负荷状态。 与泵、阀、电机等通用船用配件不同，轴功率仪不直接参与驱动，而是感知、测量、诊断核心动力数据， 是连接主机、轴系、螺旋桨与智能机舱的关键感知终端 ，为安全运行、能效管理、健康监测提供不可替代的原始数据。 轴功率仪主要安装在主机与 轴带发电机 之间、轴带发电机与螺旋桨之间的中间轴位置。以 17.5 万立方米 LNG 船为例，它采用双主机、双轴系、双螺旋桨设计，每艘船安装 4 套，左右舷各 2 套，对中间轴进行精准的动态测量，实时获取真实可靠的数据。 七〇四所自主研制的国产轴功率仪，采用非接触式能量传输， 无需内置电池即可保障长期连续运行 ，从根本上解决了传统供电方式维护困难、可靠性低等工程难题，显著提升了设备全生命周期的服役可靠性。同时，通过严格的计量校准及环境适应性试验， 确保其以优于 ±0.5% 的测量精度 、稳定可靠的工况运行能力，为船舶能耗监测、能效优化、安全运行提供精准实时的轴系推进测量数据。

目的不是为了生成文章，而是为了分析公众号的内容： 比如输入一个关键字，比如输入“供应链”这个关键字，然后去抓取供应链相关的公众号有哪些？然后在用ai分析这些公众号的内容结构 7 个帖子 - 5 位参与者 阅读完整话题

IT之家 5 月 29 日消息，据 9to5mac 报道，苹果公司今天向美国证券交易委员会（SEC）提交了年度冲突矿产披露文件，详细介绍了其覆盖 iPhone、Mac 等产品的供应链审查情况。 去年 11 月，国际权利倡导组织（IRAdvocates）第二次起诉苹果，指控其供应链中仍包含与刚果民主共和国（DRC）及卢旺达地区童工、强迫劳动和武装组织有关的矿产。2024 年初，该组织曾就钴矿采购问题起诉苹果及其他四家科技公司，但该诉讼后来被驳回。 苹果一直否认这些指控，并通过官网透明中心发布了关于供应链、人权、供应商行为准则和负责任采购的材料与报告。 此次披露涉及 2025 年 1 月 1 日至 12 月 31 日期间。文件指出：“基于我们的尽职调查，包括分析第三方审计计划、上游追溯计划、独立报告以及供应商提供的信息，我们没有发现合理依据可以认定，截至 2025 年 12 月 31 日我们供应链中确定的任何 3TG（IT之家注：即锡、钽、钨、金）冶炼厂或精炼厂直接或间接资助了刚果民主共和国或邻国（涵盖国家）境内的武装组织。” 在报告中，苹果表示要求所有在生产中使用了 3TG 矿产的供应商提交行业标准的冲突矿产报告模板。涉及的产品包括“iPhone、Mac、iPad、AirPods、Apple TV、Apple Watch、Apple Vision Pro、Beats 系列产品、HomePod、HomePod mini、Apple Card 以及所有苹果配件”。 苹果还表示，其供应链中所有已确认的 3TG 冶炼厂和精炼厂都必须每年参与独立的第三方审计。如果这些冶炼厂或精炼厂“无法或不愿”达到苹果的标准，公司将“通过我们的供应商采取必要行动，终止相关的业务关系”。 苹果还提到，由于该公司“并不直接从矿场购买、采购或获取原生矿产”，因此公司依赖供应商、冶炼厂、精炼厂和第三方审计计划来追溯这些矿产的来源。正因如此，苹果表示“无法始终确定”其特定零部件和产品中“实际含有的 3TG 的原产国”。 苹果称其产品中含有的 3TG 可能来自刚果民主共和国或邻国，也可能来自回收和废料来源，但强调没有发现合理依据能够认定任何已确认的冶炼厂或精炼厂为该地区的武装组织提供了资金或从中受益。

蓝点网 另类供应链攻击？每月下载量超10万次的CodexUI Android会窃取用户凭证 - 蓝点网 #安全资讯 每月下载量超过 10 万次的 CodexUI Android 开源项目暗藏恶意代码，会窃取 Codex 身份验证令牌，完… 1 个帖子 - 1 位参与者 阅读完整话题

据知情人士透露，特朗普政府目前正与一批私营无人机制造公司进行深入的融资协议谈判，此举旨在大幅增加美国国内的无人机产量，并降低这种在现代冲突中日益关键的武器的制造资本。 据悉，潜在的交易形式可能包括债务和股权激励的组合，这意味着美国政府未来可能会直接持有这些私营无人机公司的部分股份。 这些潜在的战略投资是在多家私营无人机企业与五角大楼进行了数月磋商后推进的。参与磋商的还包括五角大楼旗下的战略资本办公室（OSC），该办公室拥有约2100亿美元的贷款权限，最初由拜登政府设立，旨在为对国家安全供应链至关重要的企业提供资金。知情人士强调，目前的谈判仍处于关键的磋商阶段，五角大楼的交易合规人员正在对相关企业进行严格审查，最终条款尚未敲定。国防部官员对此回应称，不对尚未做出最终决定的事项发表评论，任何最终决策都将在稍后以官方公告形式发布。 知情人士明确表示，这笔资金的最终目的并非直接采购无人机，而是为了支持制造商扩建生产线以保障供应，同时通过规模效应压低价格。这一努力与五角大楼推行的“无人机主导”（Drone Dominance）计划高度契合。该计划是一项总额达11亿美元的倡议，旨在到2027年底前集结约30万架低成本攻击无人机。目前，许多美制无人机的售价比五角大楼设定的每架5000美元的价格上限高出数万美元。国防官员普遍认为，美国必须大幅提升制造产能并压低成本才能实现战略目标。根据2025年的估算数据，美国目前的无人机年产能上限仅为10万架，而作为对比，乌克兰在去年就制造了约400万架。长期以来，美国无人机行业普遍指责国防部采购量不足，导致企业缺乏资金来扩大后续生产。 目前已被五角大楼纳入潜在融资考察范围的企业包括：已获得美国陆军侦察无人机合同的Performance Drone Works（PDW），该公司此前已从投资者处筹集了近2亿美元；风险投资公司红杉资本支持的初创企业Neros Technologies，该公司主要生产小型第一人称视角（FPV）无人机，已筹集超过120亿美元，并在近期的“无人机主导”竞赛中获得第二名，其微型无人机还曾出现在国防部长皮特·海格塞斯7月宣布加速国内生产新政的视频中；此外还包括公开上市的无人机零部件供应商Unusual Machines，小唐纳德·特朗普是该公司的股东兼顾问委员会成员，该公司近期还投资了由小唐纳德·特朗普和埃里克·特朗普支持的另一个无人机项目，并与中国无人机供应商达成了相关交易。 这场由五角大楼主导的交易谈判，释放出了美国军方迄今为止将全力支持无人机初创企业的最强信号。根据美国国防创新局（DIU）的数据，在特朗普第二任期开始之前，五角大楼的采购额在全美每年商业和政府无人机系统总销售额中的占比甚至不足2%。然而，随着五角大楼寻求大幅调整预算，这一局面预计将发生根本性转变。国防部目前已为其无人机核心指挥机构——国防自主战争小组（DAWG）——申请了超过540亿美元的预算，而在今年，该机构的预算总额仅为2.25亿美元左右。 查看评论

空中客车（Airbus）表示，由于供应链问题困扰着这家飞机制造商，向澳大利亚的澳洲航空（Qantas Airways）交付首批远程客机的时间已经推迟。这家欧洲集团周二表示，12架经过特殊改装的A350-1000飞机中的第一架现在将于2027年4月交付。 澳洲航空在2022年表示，将向空中客车订购新飞机，用于执飞澳大利亚城市与伦敦和纽约之间的超长途不经停航班。当时，澳洲航空表示，这些航班将从2025年底开始提供。澳洲航空后来表示，第一架飞机将于2026年底交付。 空中客车表示，交付延迟“主要归因于供应链问题的影响“。 由于供应链不畅，空中客车被迫在2022年、2024年和2025年下调其飞机交付目标，因为全球瓶颈阻碍了从座椅到卫生间等装配必需品的采购。RTX旗下的普惠公司（Pratt & Whitney）供应的发动机短缺已成为空中客车最新的头疼问题，不过该集团已确认其今年的交付目标。 澳洲航空的一位发言人表示，这批A350飞机中的第一架正在喷漆车间，并将在几周内进行试飞。 该发言人说：“下个月我们将公布首条航线以及首航商业服务的具体时间。“她表示，尽管首架飞机的交付有所延迟，但后续飞机将很快相继抵达，从而使该航空公司能在11月前恢复到原定计划。 该发言人说：“我们将继续与空中客车在交付和认证流程上密切合作，这将使我们能够开始运营这些具有历史意义的超长途航班。” 查看评论

IT之家 5 月 26 日消息，AI 企业 Perplexity 当地时间本月 22 日宣布开源其内部网络安全风险扫描工具 Bumblebee，为行业应对软件供应链投毒提供新的手段。 Perplexity 表示， 面向用户的产品安全性依赖于开发者系统的安全性 。其内部构建了 Perplexity Computer 负责跟踪、人工审核威胁列表、Bumblebee 扫描终端的半自动化流程。 Bumblebee 支持基准、定向、深度三种运行模式，扫描对象包括软件包管理器、智能体配置、 编辑器扩展、浏览器扩展。其采用元数据文件直读的方式，不会运行任何存在篡改风险的工具，从而 避免扫描本身带来风险 。

供应链攻击，正在由点到面到蔓延。 更大的雷，我相信还远远没到 因为由于攻击者手里掌握的私钥越来越多，武器也会越来愈多。 大胆想象一下吧～ 建议各位，减少自己的暴露面，缩减自己的工作流，关掉一些自动更新。 https://www.securityweek.com/over-5500-github-repositories-infected-in-megalodon-supply-chain-attack/

供应链攻击，正在由点到面到蔓延。 更大的雷，我相信还远远没到 因为由于攻击者手里掌握的私钥越来越多，武器也会越来愈多。 大胆想象一下吧～ 建议各位，减少自己的暴露面，缩减自己的工作流，关掉一些自动更新。 https://www.securityweek.com/over-5500-github-repositories-infected-in-megalodon-supply-chain-attack/

The Hacker News TrapDoor Supply Chain Attack Spreads Credential-Stealing Malware via npm,... TrapDoor spread 34 malicious packages across npm, PyPI, and Crates.io, stealing developer credentials and enabling persistence. [!quote]+ 一场新的跨生态系统软件供应链协同攻击活动以 npm、PyPI 和 Crates.io 为目标，传播证书窃取恶意软件。 这场代号为 "TrapDoor "的活动涉及超过 34 个恶意软件包，版本超过 384 个。最早的活动记录于 2026 年 5 月 22 日 8:20 p.m. UTC，新软件包一波一波地从一组账户快速发布到生态系统中。 "TrapDoor的目标是加密、DeFi、Solana和人工智能社区的开发人员，"Socket说。"恶意软件包旨在窃取开发者机密、加密钱包、SSH 密钥、云凭证、浏览器数据和环境变量。 "几个 npm 软件包还部署了一个共享有效载荷 trap-core.js，它可以扫描凭证、验证 AWS 和 GitHub 令牌、尝试基于 SSH 的横向移动，并通过 .cursorrules、CLAUDE.md、Git 钩子、shell 钩子、systemd、cron 和 SSH 设置持久性。 值得注意的是，该活动与 HUMAN 的 Satori 威胁情报和研究小组上周详细报道的另一个同名活动没有任何联系，后者通过 Google Play 商店分发了 455 个安卓应用程序，从事广告欺诈活动。 该行动的显著特点是交付路径多样，使用安装后钩子、在软件包导入时执行的远程 JavaScript 有效载荷以及恶意 build.rs 脚本来攻击 Sui 和 Move 开发人员。这些软件包伪装成看似无害的工具，使攻击者能够接触到广泛的受众。 npm 软件包被发现运行一个 JavaScript 有效载荷（“rap-core.js”），它可以扫描凭据和开发人员机密，使用 AWS 和 GitHub API 调用验证窃取的凭据，使用 cron 作业、systemd 服务、Git 钩子在主机上创建持久性，并通过 SSH 在网络上移动。 Rust crates 以类似的方式搜索本地密钥库，使用硬编码 XOR 密钥加密数据，并将数据外泄到 GitHub Gists。值得注意的是，这些软件包还使用了构建脚本（“build.rs”）来触发恶意代码的执行。 与 TrapDoor 相关的 Python 软件包设计为导入时自动执行。这些软件包的主要目的是从攻击者控制的 GitHub 页面域（“ddjidd564.github[.]io”）下载 JavaScript，并使用 "node -e "运行。 "Socket 解释说："这种技术允许 Python 软件包将执行委托给远程 JavaScript 有效载荷，使攻击者在发布后拥有更大的灵活性。"通过在外部托管有效载荷，攻击者可以在不发布新的 PyPI 版本的情况下更新行为。 该活动的一个不同寻常之处是植入了 .cursorrules 和 CLAUDE.md，其中包含隐藏指令，以诱骗人工智能（AI）助手运行 “安全扫描”，从而导致秘密被发现和外泄。这是通过在流行的人工智能和开发人员项目中打开 GitHub 拉取请求（PR）来实现的，包括 “browser-use/browser-use”、"langchain-ai/langchain "和 “langflow-ai/langflow”。 3 个帖子 - 2 位参与者 阅读完整话题

供应链攻击，正在由点到面到蔓延。 更大的雷，我相信还远远没到 因为由于攻击者手里掌握的私钥越来越多，武器也会越来愈多。 大胆想象一下吧～ 建议各位，减少自己的暴露面，缩减自己的工作流，关掉一些自动更新。 https://www.securityweek.com/over-5500-github-repositories-infected-in-megalodon-supply-chain-attack/

供应链攻击，正在由点到面到蔓延。 更大的雷，我相信还远远没到 因为由于攻击者手里掌握的私钥越来越多，武器也会越来愈多。 大胆想象一下吧～ 建议各位，减少自己的暴露面，缩减自己的工作流，关掉一些自动更新。 https://www.securityweek.com/over-5500-github-repositories-infected-in-megalodon-supply-chain-attack/

如题，没看到有佬友法，就发下 11 个帖子 - 6 位参与者 阅读完整话题